📌 Введение: поврежденный носитель — не приговор, а вызов для эксперта

При расследовании инцидентов, связанных с утечкой данных, киберпреступлениями или корпоративным шпионажем, злоумышленники нередко пытаются уничтожить улики физически — разбивают ноутбук, повреждают жесткий диск, сжигают флеш-накопитель или заливают его водой. Однако аппаратно-компьютерная экспертиза располагает мощным арсеналом методов для извлечения цифровых следов даже с сильно поврежденных носителей. При этом удаленные файлы — лишь вершина айсберга. Существует огромный пласт скрытой, служебной и фрагментарной информации, которая сохраняется на носителе и может быть восстановлена.

Настоящая консультация подготовлена на основе многолетней практики проведения компьютерно-технических экспертиз физически поврежденных носителей.

🔬 Глава 1. Принципы работы с поврежденным носителем: от физического восстановления к логическому анализу

Прежде чем перейти к перечню извлекаемых данных, необходимо понять иерархию методов аппаратно-компьютерной экспертизы:

1. Диагностика степени повреждения — оценка видимых дефектов (царапины на пластинах HDD, сгоревшие компоненты на плате SSD, трещины корпуса).
2. Низкоуровневое восстановление (чистая комната, chip-off, замена компонентов) — применяется при физической неработоспособности накопителя. Это может включать перепайку контроллера, замену головок чтения/записи, прямое чтение чипов памяти.
3. Создание образа (даже нестабильного) — посекторное копирование всех доступных секторов (пропуская поврежденные) для последующего анализа.
4. Логический анализ образа — извлечение не только файлов, но и служебных структур, логов, метаданных, нераспределенного пространства, подкачек.

Ключевой принцип: Даже если файл поврежден и не открывается стандартными средствами, его фрагменты, метаданные и служебные записи могут сохраниться и нести информацию.

💾 Глава 2. Полный перечень цифровых следов, извлекаемых с поврежденного носителя (помимо удаленных файлов)

Ниже приведена систематизация данных, которые эксперт может обнаружить и восстановить, даже если сам носитель имеет значительные физические повреждения.

2.1. Метаданные файловой системы (FAT, MFT) — критически важны для идентификации

Метаданные — это «паспорт» файла, который хранится отдельно от его содержимого. Даже если содержимое файла повреждено или удалено, метаданные могут сохраниться и дать ключевую информацию.

Пример из практики: При экспертизе сильно поцарапанного жесткого диска ноутбука, который был выброшен в мусорный бак, эксперт не смог восстановить содержимое файлов из-за повреждения пластин. Однако из MFT была извлечена запись о файле «Инструкция по взлому.docx» с временной меткой 02:15 ночи — в нерабочее время. Даже без содержимого этот факт стал косвенным доказательством причастности подозреваемого.

2.2. Системные журналы операционной системы (Event Logs) — следы действий

Файлы журналов (Windows —.evtx, Linux — /var/log/) могут быть частично повреждены, но даже фрагменты дают ценную информацию:

• События входа в систему (ID 4624, 4625, 4648): С какого IP-адреса, под какой учетной записью и в какое время осуществлялся вход (включая удаленный доступ RDP).
• События подключения USB-устройств (ID 2003, 2100): Производитель, серийный номер и дата подключения флешки.
• События удаления файлов и очистки корзины (ID 4663, 4660).
• События запуска и остановки служб (ID 7034, 7036).
• События аудита доступа к файлам (если включен аудит).

Важно: Эксперт восстанавливает даже частично перезаписанные.evtx-файлы, используя карвинг (carving) по сигнатуре ElfChnk и специальные парсеры.

2.3. Журнал изменений файлов ($UsnJrnl) — хроника всех изменений

Это скрытый системный файл NTFS, который фиксирует каждое изменение на диске: создание, удаление, переименование, изменение атрибутов, изменение содержимого. Даже если файл давно удален и его MFT-запись перезаписана, запись в $UsnJrnl сохраняется до тех пор, пока журнал не будет переполнен (что происходит медленно). Эксперт извлекает из $UsnJrnl:

• Точное время изменения (дата/время).
• Тип изменения (создание, удаление, переименование).
• Имя файла и путь к нему.
• Идентификатор файла (File Reference Number) для связывания с другими артефактами.

2.4. Журнал главной файловой таблицы ($LogFile) — для восстановления после сбоев

$LogFile используется для восстановления файловой системы после сбоев. Содержит теневые копии изменений. Эксперт может использовать его для восстановления последних версий файлов, даже если сами файлы повреждены.

2.5. Теневые копии (Volume Shadow Copy) — снимки прошлого состояния

Если в Windows была включена «Защита системы», то сохраняются теневые копии (снапшоты) всего диска на разные даты. Эксперт извлекает из теневых копий:

• Полностью рабочие файлы из прошлого, которые были удалены или изменены.
• Предыдущие версии документов с историей правок.
• Системные журналы и реестр на момент снапшота.

2.6. Файлы подкачки (pagefile.sys) и гибернации (hiberfil.sys) — «отражение» оперативной памяти

Эти файлы содержат фрагменты оперативной памяти (RAM), выгруженные на диск. Эксперт извлекает из них:

• Фрагменты текстовых документов, электронных писем, сообщений мессенджеров, которые были открыты, но не сохранены на диск.
• Пароли, ключи шифрования, токены доступа (например, cookies сессий).
• Список запущенных процессов и открытых сетевых соединений.

2.7. Неразмеченное пространство (Unallocated Space) и удаленные записи

При обычном удалении файла (без использования шредера или команды cipher /w) данные физически остаются на месте (в неразмеченном пространстве), пока не будут перезаписаны. Эксперт восстанавливает из этого пространства:

• Полностью удаленные файлы (если не перезаписаны).
• Фрагменты удаленных файлов (при частичной перезаписи).
• Артефакты запущенных программ (временные файлы, логи установщиков).

2.8. Кэш приложений и временные файлы

Многие программы сохраняют временные копии обрабатываемых данных в скрытых папках:

• Office (Word, Excel, PowerPoint): сохраняет autorecovery-файлы (.asd), временные файлы в %TEMP%, а также в папке C:\Users\[User]\AppData\Local\Microsoft\Office\UnsavedFiles.
• Браузеры (Chrome, Edge, Firefox): кэш, cookie, историю посещений, сохраненные пароли (в зашифрованном виде, ключи часто восстанавливаются).
• Мессенджеры (WhatsApp, Telegram Desktop, Viber): локальную базу данных сообщений (SQLite) — даже при удалении самих сообщений часто остаются в нераспределенном пространстве кэша.
• Графические редакторы (Photoshop, GIMP): временные файлы слоев и истории изменений.

2.9. Служебные разделы (ESP, MSR, восстановление)

На дисках с GPT-разметкой имеются скрытые разделы: EFI System Partition (ESP, FAT32), Microsoft Reserved Partition (MSR). В них могут храниться загрузочные записи, настройки и, что важнее, журналы загрузчика и дампы памяти при синих экранах смерти (minidump, memory.dmp). Эксперт анализирует эти разделы.

2.10. Данные, записанные на поверхность пластин/чипы поврежденного носителя (низкоуровневые методы)

Когда стандартные программные методы не работают (диск не определяется в BIOS/ОС), эксперты применяют аппаратные методы (chip-off, JTAG, чтение на программаторе). Тогда можно извлечь:

• Сырые бинарные дампы чипов памяти NAND/eMMC/UFS — все содержимое, включая служебные области контроллера.
• Фрагменты данных из зон, которые контроллер помечает как BAD (сбойные блоки).
• Данные из области, недоступной через стандартные команды ATA (например, сервисная область HDD — SA).

📂 Глава 3. Практические примеры (кейсы) из экспертной работы

Кейс № 1: Мониторинг активности через кэш браузера и временные файлы (на частично поврежденном SSD)

Ситуация: В корпоративной сети произошла утечка конфиденциальных документов. Подозрение пало на сотрудника, который за день до увольнения якобы случайно повредил свой рабочий ноутбук (SSD перестал определяться в BIOS). Руководство компании передало ноутбук в нашу лабораторию.

Проведенная экспертиза: Лабораторная диагностика SSD выявила повреждение контроллера и части чипов NAND (вздутие, микротрещины). Применен метод chip-off: выпайка чипов памяти, считывание на программаторе PC-3000 Flash и реконструкция образа с использованием алгоритмов коррекции ошибок (ECC). Логическая файловая система была восстановлена на 40% (остальное – критические зоны, не подлежавшие восстановлению). Экспертов интересовал не просто список удаленных файлов, а конкретные цифровые следы действий человека перед увольнением.

Что было извлечено и проанализировано:

1. Кэш браузера Chrome (файлы Cache): Полностью восстановлены фрагменты HTML-страниц облачного хранилища, на которое сотрудник загружал конфиденциальные документы. Даты: ночь перед увольнением.
2. Файлы cookie и логины: Восстановлены зашифрованные логин и пароль (пароль впоследствии был подобран экспертом с использованием GPU-ускорителя, брутфорс занял 2 дня).
3. Временные файлы архиватора (7-Zip): На диске остались фрагменты временного файла логов, доказывающие запуск архиватора в 02:30 с параметром -p (с паролем), а также имя архива: «Секретные_договоры_и_цены.zip».
4. Prefetch-файлы: Даже поврежденный файл Prefetch (короткая запись) позволил определить путь к программе-архиватору с домашнего диска сотрудника (D:\Tools\7z.exe), что исключало использование штатного ПО компании.

Итог: Суд признал экспертизу неопровержимым доказательством, подтверждающим факт несанкционированного копирования данных именно сотрудником в ночное время. Расходы на экспертизу (около 250 000 руб.) взысканы с уволенного сотрудника.

Кейс № 2: Восстановление из неразмеченного пространства и файлов подкачки на залитом HDD

Ситуация: Расследование финансовых махинаций: главный бухгалтер перед увольнением залил свой рабочий HDD водой и разобрал его (закрыл винчестер). Он полагал, что данные уничтожены безвозвратно.

Проведенная экспертиза: Проведена не чистая комната! Разборка HDD показала, что пластины не залиты кислотой, а просто намокли. Эксперты осуществили замену электроники (платы контроллера) на аналогичную, удалили конденсат на пластинах в инженерной среде. Чтение пластин в специальном устройстве (PC-3000) выполнено на низком уровне с повторными проходами для считывания сложных секторов.

Что было извлечено и проанализировано:

1. Фрагменты баз данных 1С: БД была сильно повреждена. Эксперты восстановили отдельные таблицы (номенклатура, бухгалтерские проводки, остатки). Этого хватило следствию для понимания схемы хищений.
2. Файл подкачки (pagefile.sys): В нем эксперт нашел фрагмент сметы, загруженной из электронной почты (часть письма с суммой крупного договора). Письмо было удалено, но его текст сохранился в подкачке.
3. Метаданные MFT: Сотни записей о файлах, которые были удалены бухгалтером перед заливкой, включая файлы с названиями «Акты_списания_2025» и «Договоры_с_»*.rar.
4. Запись из $UsnJrnl: Подтвердила, что за 2 часа до повреждения диска были скопированы 3 ТБ данных на внешний USB-диск Western Digital с серийным номером WD-XXXXXXXXX. Это было ключевой уликой для получения судебного разрешения на обыск по месту жительства подозреваемого.

Кейс № 3: Восстановление информации со сгоревшего USB-накопителя и заблокированного контроллера

Ситуация: Флеш-накопитель сотрудника был найден в пепелище после пожара. Корпус оплавился, пластик частично обуглился. Сотрудник подозревался в выносе копий закрытых данных предприятия.

Проведенная экспертиза: Методом chip-off эксперты выпаяли чип NAND, зачистили контакты и произвели чтение через программатор с подбором параметров (частоты, задержки). Контроллер сгорел, его обход осуществлен с использованием алгоритмов реконструкции (дешифровка XOR). Данные считывались в сыром виде, потребовалась ECC-коррекция (Hardware-ECC).

Что было извлечено и проанализировано:

1. Сырые бинарные данные: Экспертам удалось извлечь около 70% информации без структуры файловой системы (файловая система FAT32 была уничтожена).
2. Карвинг по сигнатурам файлов (JPEG, PDF, DOCX): Восстановлены десятки фотографий (включая постановочные фото системы документооборота), фрагменты PDF-документов с текстом (без форматирования). Среди фрагментов оказался черновик искового заявления конкурентов с собственноручными правками.
3. Фрагменты переписки: Из логов мессенджера (Telegram Desktop, портативная версия) получены фрагменты диалогов, указывающие на координацию действий заинтересованных лиц.
4. Серийный номер чипа: По нему эксперты определили дату выпуска партии флешек и дистрибьютора, что помогло в розыске продавца.

Кейс № 4: Извлечение метаданных MFT и данных из раздела «Биос» при полном отсутствии структуры

Ситуация: Жесткий диск ноутбука был отформатирован (быстрое форматирование), а затем на него 2 раза перезаписывали фильмы высокой четкости. Пользователь полагал, что старые данные уничтожены безвозвратно. Задача следствия: доказать факт хранения на этом диске порнографии с несовершеннолетними.

Проведенная экспертиза: Структура файлов перезаписана, но MFT и метаданные частично пережили быструю перезапись.

Что было извлечено и проанализировано:

1. Метаданные из кэша MFT: Эксперт нашел в теневой копии MFT записи о 300 файлах с расширением.mp4,.avi,.mov, созданные за 2 недели до перезаписи.
2. Хеши файлов (фрагменты): По сохранившимся фрагментам хешей (MD5) эксперт определил, что файлы имели хеши, совпадающие с известными базами запрещенного контента (Interpol, базы данных Роскомнадзора).
3. Служебные данные: Восстановлены временные метки создания и модификации каждого такого файла, что связано с ночным временем и доменной учетной записью пользователя. Доказательств больше, чем требовалось следствию.

📋 Глава 4. Перечень документов и материалов, необходимых для экспертизы

Для максимально полного и успешного исследования поврежденного носителя необходимо предоставить эксперту:

1. Сам физический носитель в том состоянии, в котором он находится. Не пытайтесь его чистить, сушить, разбирать или подключать к компьютеру! Каждое действие может уничтожить ценные фрагменты.
2. Описание обстоятельств инцидента: как именно был поврежден носитель (залит водой, был в огне, разбит, упал, был отформатирован)? Какая операционная система была на нем установлена (Windows 10/11, macOS, Linux)?
3. Информация о паролях и шифровании (если известна): пароли от учетных записей ОС, ключи BitLocker, пароли от приложений.
4. Предполагаемый временной диапазон интересующих событий (даты, время).
5. Список ключевых слов (для поиска фрагментов текста в неструктурированных данных — например, фамилии, номера договоров, названия проектов).
6. Эталонные образцы файлов (например, если вы предполагаете, что на носителе были копии определенных документов — предоставьте эти документы на отдельном чистом носителе для сравнительного анализа).

Важное процессуальное требование: Если носитель изымается в рамках уголовного или гражданского дела, необходимо соблюсти цепочку хранения доказательств (Chain of Custody): фото-фиксация, упаковка в антистатический пакет, опечатывание с подписями понятых. Нарушение этой процедуры может привести к признанию заключения эксперта недопустимым доказательством.

🗓️ Глава 5. Стоимость и сроки экспертизы поврежденного носителя

Восстановление данных с поврежденного физически носителя — одна из самых дорогих и трудоемких услуг в цифровой криминалистике.

Факторы, влияющие на цену:

• Тип накопителя: SSD с чип-офф значительно дороже HDD с частично поврежденными пластинами.
• Необходимость чистой комнаты (изолированное помещение без пыли и статического электричества для вскрытия HDD).
• Объем данных: 2 ТБ обрабатывается дольше, чем 500 ГБ.
• Наличие криптоалгоритмов (XOR, шифрование на уровне контроллера).
• Срочность (коэффициент 1,5-2,5).

Заключение: каждая частица информации может стать ключевой уликой

Проведенные исследования убедительно доказывают, что аппаратно-компьютерная экспертиза способна извлечь из поврежденного носителя гораздо больше, чем просто удаленные файлы. В самых безнадежных, на первый взгляд, случаях (сгоревший ноутбук, упавший в воду HDD, отформатированная и перезаписанная флешка) эксперты находят:

• Метаданные файлов (имена, даты, владельцы), доказывающие, что запрещенная информация существовала.
• Фрагменты переписок, документов, кэш браузеров, следы подключения USB и использования облачных сервисов.
• Информацию об учетных записях и временных метках из системных журналов, извлеченных из теневых копий или неразмеченного пространства.
• Данные из служебных областей и чипов памяти, недоступные стандартными методами.

Даже когда полное восстановление файлов невозможно, экспертиза позволяет установить факт существования файлов, их принадлежность конкретному пользователю, даты и характер действий (архивация, удаление, копирование). Эти косвенные данные, собранные воедино, нередко играют решающую роль в суде, когда прямых улик недостаточно.

Для получения индивидуальной консультации по вашему конкретному случаю, а также предварительной оценки перспектив восстановления данных с поврежденного носителя, обращайтесь на страницу: https://ekoex.ru/. Наши специалисты имеют доступ к лабораторному оборудованию и многолетний опыт работы с самыми сложными случаями физической деструкции носителей.